秘钥与数字证书

最新推荐文章于 2025-09-22 09:44:45 发布
原创 最新推荐文章于 2025-09-22 09:44:45 发布 · 1k 阅读 · 3 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#秘钥 #数字证书 #key

一 秘钥

秘钥(key)通过加密算法(key algorithms)生成。加密算法分为两类:对称秘钥加密算法(symmetric key algorithms)和非对称秘钥加密算法(asymmetric key algorithms)。前者属于单钥加密(private key cryptography),只产生一把秘钥,由该秘钥加密和解密,拥有秘钥的双方都需要保管好秘钥,因此秘钥容易被泄漏出去;而后者属于双钥加密(public key cryptography),产生两把秘钥,一把公开的公钥(public key),一把不公开的私钥(private key),只需要保管好私钥,安全性大大提高了 。

在双钥加密的情况下

  • 公钥和私钥一一对应,有一把公钥就必然有一把与之对应的、独一无二的私钥,反之亦成立。
  • 所有的(公钥, 私钥)对都是不同的。
  • 公钥可以解开私钥加密的信息,反之亦然;但不能解开自己加密的信息。公钥一般用于加密,私钥一般用于解密。
  • 秘钥对生成后,不能从公钥推出私钥,在原理上也不能从私钥推出公钥,但是由于一般私钥中也会保存公钥的信息,因此可行,如ssh-keygen -y

目前,通用的单钥加密算法为DES(Data Encryption Standard),通用的双钥加密算法为RSA( Rivest-Shamir-Adleman),都产生于上个世纪70年代。单钥加密算法还有AES(微信公众号正在使用),双钥加密算法还有dsa,ecdsa,ed25519等。

二 数字证书

浏览器与服务器使用https通信时,通信过程如下(这里的步骤2是错误的):

  1. 浏览器向服务器发出请求。
  2. 服务器发送公钥给浏览器,之后双方都通过秘钥对数据加密和解密。
  3. 服务器将浏览器请求的数据通过哈希函数,产生摘要(digest),然后用私钥对摘要进行加密,产生数字签名(signature),并将数据连同数字签名发给浏览器。常用的生成摘要的算法如md5,参考:零碎知识4.6小节
  4. 浏览器使用公钥解密数字签名,得到摘要,然后也对数据进行哈希运行产生摘要,将两者对比,判断是否来自于要访问的服务器,然后执行自己的操作。
  5. 两者继续通过秘钥通信

但是问题来了,步骤1、2中,浏览器请求服务器时,请求被hacker拦截,并模拟服务器发送自己的公钥给浏览器,于是hacker可以通过自己的私钥来骗取浏览器的信任,容易窃取到浏览器用户的信息。这就是著名的中间人攻击

也就是说,浏览器获得的公钥不可信。为了解决此问题,引入了大家都信任的数字证书认证机构(CA) ,CA用自己的秘钥将服务器一些相关信息和公钥加密起来形成数字证书。于是步骤2中,服务器不再发送公钥给浏览器,而是发送数字证书。浏览器一般会保存被信任的所有认证机构(CA)的公钥,用于解密收到的数字证书,得到服务器的公钥,再进行步骤4进行验证。

只要CA的私钥不被泄漏,hacker就不能伪造数字证书,从而不能将自己的公钥传给浏览器。即使hacker获取了其他服务器的私钥和数字证书,拦截浏览器请求交给它该数字证书,浏览器也判断该证书代表的服务器不是自己访问的,因为数字证书中还含有与服务器相关的信息。

这就是https能够保证数据安全的原因。

参考

密码学笔记
数字签名是什么?
Key (cryptography)
ssh-keygen

中间人攻击;CA机构;数字证书的流转流程:防止中间者攻击;动态秘钥TLS1.3TLS1.2QUIC(Quick UDP Internet Connections)TLS,
ZJQ的博客
04-24 568
爱丽丝收到公钥后,误以为这是鲍勃的公钥,因此她会使用马洛里的公钥加密她的消息,并发送给鲍勃。马洛里能够再次截获这条加密的消息,并使用自己的私钥解密它。在这个例子中,马洛里就是中间人,他成功地截取了爱丽丝鲍勃之间的通信,并有机会窃取、篡改或伪造他们的消息。这只是一个非常简化的例子,实际中使用的质数pq会非常大(通常有几百位),以确保加密的安全性。总的来说,TLS1.3相较于TLS1.2在密钥协商机制、安全性性能上都有所提升,这使得它更加适合用于现代网络环境,为双方之间的通信提供更安全、更高效的保障。
秘钥证书
喵喵的技术博客
10-17 3445
早期的网络通信是明文通信,即传递的消息均未加密,又因为网络通信的本质是通过广播实现的数据包传递,因此只要能够在网络节点进行监听就很容易获取传递消息中未加密的敏感信息,比如用于身份认证的用户名密码,并且即使认证信息进行了加密,因为消息传递的整个过程没有加密处理,所以也很容易实现中间人攻击,因此明文通信的方式已经在实际环境中逐渐被淘汰,取而代之的就是秘钥加密技术,秘钥的设计产生算法涉及深奥的密码学,...
证书秘钥关系
legend_x的专栏
05-21 3655
什么是证书呢? 就是用你手机的串号(待机下按*#06#的号码)去申请,得回来的证书(cer文件)。一般申请后下载下来的是一个压缩包(zip),解压后就有密钥(key文件)证书。要签名二者缺一不可! 其实证书只是一个文件,还有一个要他相匹配的密钥一起使用才可以。证书可以理解为是一个通行证,而密钥则是一把钥匙。在你安装软件时,它提示证书错误的,这软件就要用你的通行证钥匙导入(通过签名
安全加密 - 证书秘钥关系
迟来大师的博客
12-01 3197
一言蔽之: 证书用于管理公钥。(公钥要公开。如何避免公钥被替换或损毁,引入了证书。) 比方 证书好比身份证(公钥+姓名+数字签名)。 证书机构(CA)好比公安局,负责管理分发身份证。 证书内容 证书实际上是对于非对称加密算法来说的,一般证书包括公钥、姓名、数字签名三个部分。 CA登记 HASH(公钥+姓名) 标识唯一性,也就是证书里的数字签名。 甲方 发送数据给 乙方, 去CA查找乙方的身份证书,上面有乙方的信息,可以保证公钥就是乙方的。 然后把要加密的信息进行...
公钥,私钥,证书基础知识点回顾
神棍之路
09-22 782
核心关系:可以简单理解为,证书是经CA“盖章”认证了的公钥。私钥本地生成并妥善保管,公钥可公开且包含在证书中,证书则由CA用其私钥签名以确保其内容(包括你的公钥身份)的真实性。信任是基础:整个体系依赖于对CA的信任。浏览器操作系统中会预置一批受信任的根CA的证书证书并非绝对安全:它依赖于CA的安全性、私钥的保密性以及算法的强度。如果CA的私钥泄露,或者有CA错误颁发了证书,信任链就会被破坏。自签名证书:也可以自己扮演CA,生成自签名证书
证书密钥
chenyan8111的博客
08-12 1004
1, 基本概念 1.1 加密 加密,是以某种特殊的算法改变原有的信息数据,使得未授权的用户即使获得了已加密的信息,但因不知解密的方法,仍然无法了解信息的内容。 加密之所以安全,绝非因不知道加密解密算法方法,而是加密的密钥是绝对的隐藏,现在流行的RSAAES加密算法都是完全公...
密钥,证书,签名相关概念
henrydlwang的博客
08-25 4425
一直以来对加密的相关概念都很模糊,今天上网搜了资料,整理下相关概念: 1、密钥:是一种参数,在加密解密算法进行加解密时需要使用的一种参数。分为对称加密非对称加密。对称加密就是相同的密钥进行加解密。非对称加密有一对密钥,分为共钥私钥,共钥可以对外公开,私钥有私人持有;用其中一个密钥加密后,另一个密钥可以解密。目前比较流行的开源的对称加密算法有:DES(数据加密标准)、TripleDES(三重
密码学概念二:数字证书、密钥基础知识
叫好与叫座虽然不是对立面,但想在同一个作品中达到双重效果很难。
04-26 2551
https://www.zhihu.com/column/c_1380896366827388928本文主要简述数字证书密钥相关的一些基础知识,例如什么是数字证书?ASN.1 是什么?常见的 X.509 代表什么含义?什么是 PKI、PKCS 标准?对于非对称加密算法数字签名来说,很重要的步骤就是公钥的分发。理论上任何人都可以获取到公开的公钥,然而这个公钥文件有可能是伪造的,传输过程中也有可能被篡改,所以一旦公钥自身出了问题,则整个建立在其上的的安全性将不复成立。数字证书机制 正是可以解决公钥分发问题,
信息摘要 秘钥签名 数字签名 数字证书 数字验证 数字信封 这都是什么东西?
ifeng
07-19 1675
从信息摘要发展到数字证书
精选资源
代码签名数字证书(含私钥)_过期证书_过期数字签名强制签名工具_数字签名_证书
09-10
代码签名数字证书是软件开发分发过程中一个关键的安全组件,尤其在确保用户信任防止恶意软件方面。本文将深入探讨过期证书、过期数字签名的处理、强制签名工具以及数字签名证书的相关知识。 首先,我们要理解...
基于hmq改造的mqtt服务器,支持go-things的秘钥认证,证书认证等功能.zip
08-24
证书认证则依赖于数字证书公钥基础设施(PKI),这种方式更为严格安全,能够提供较强的身份验证数据加密功能。在本项目中,通过整合go-things,开发者可以方便地实现上述两种认证机制,不仅保证了消息传输的...
密钥、证书原理创建
qq_41937509的博客
09-20 4483
公钥私钥是通过一种算法得到的一个密钥对(即一个公钥一个私钥),将其中的一个向外界公开,称为公钥;另一个自己保留,称为私钥。通过这种算法得到的密钥对能保证在世界范围内是唯一的。使用这个密钥对的时候,如果用其中一个密钥加密一段数据,必须用另一个密钥解密。比如用公钥加密数据就必须用私钥解密,如果用私钥加密也必须用公钥解密,否则解密将不会成功。
密钥证书
斑竹的程序设计专栏
09-18 9323
密钥证书不对称加密使用公共/专用密钥对。对于使用专用密钥加密的数据,只能使用相应的公共密钥进行解密,反之亦然。顾名思义,公共密钥可广泛使用。相反,专用密钥为特定个人所有。将公共密钥传送至用户的分发机制称为证书证书一般由证书颁发机构 (CA) 签名,以确认公共密钥来自于要求发送公共密钥的主体。CA 是相互信任的实体。数字认证的典型实现包括证书签名过程。该过程如图 1 中所示。图 1. 数字认证过
一文读懂:密钥-加密算法-数字证书相关概念
℡﹏余温***
04-27 5015
本文介绍了密钥、签名、摘要、验签、数字信封、数字证书常见加密算法的概念。帮助大家清晰了解加密技术,防止混淆。
秘钥是什么
顺其自然~专栏
02-15 6699
密钥(secret key)是一种,它是在或将的。密钥分为对称密钥非对称密钥。根据《现代汉语词典(第7版)》,【密钥】mì yuè(口语中多读mì yào)。
Java安全——密钥证书
m0_59598029的博客
02-21 2486
从时代发展的角度看,网络安全的知识是学不完的,而且以后要学的会更多,同学们要摆正心态,既然选择入门网络安全,就不能仅仅只是入门程度而已,能力越强机会才越多。因为入门学习阶段知识点比较杂,所以我讲得比较笼统,大家如果有不懂的地方可以找我咨询,我保证知无不言言无不尽,需要相关资料也可以找我要,我的网盘里一大堆资料都在吃灰呢。干货主要有:①1000+CTF历届题库(主流经典的应该都有了)②CTF技术文档(最全中文版)③项目源码(四五十个有趣且经典的练手项目及源码)
面试官:ca证书存储在哪的
m0_50654102的博客
12-02 5067
背过八股文的小伙伴都知道,https中的ssl第二次握手的过程:服务端选择一套密钥、公钥、hash算法、摘要等囊括在ca证书中并发送给浏览器。 那么ca证书存储在哪个位置呢? 面试官这个问题把我直接整懵了。。 我:ssl握手过程中,浏览器会通过证书链层层验证,直至操作系统上的根证书,根证书存储在客户端本地,其余的存储在服务器上。 面试官:服务器哪个位置? 我:??? 反问环节顺便问了下面试官 服务器会有一个专门的地方存储证书,这个你回去后可以研究下(吐血) 老规矩,实践出真知,打开谷歌浏览器看看 emm
数字证书、公钥私钥这三者之间的关系
hongbinchen的专栏
08-11 5726
转载: 数字证书、公钥私钥这三者之间的关系是什么  (来源:google 作者:不详)        根据非对称密码学的原理,每个证书持有人都有一对公钥私钥,这两把密钥可以互为加解密。公钥是公开的,不需要保密,而私钥是由证书持人自己持有,并且必须妥善保管注意保密。数字
HTTPS加密原理
破晓的成长之路
06-14 637
对称加密 1.第一次传输对称密钥为明文传输,不安全。 2.密钥存储问题。 对称密钥的问题主要在于:在第一次传输密钥时,这个密钥怎么让传输的双方知晓,同时不被别人知道。 如果由服务器生成一个密钥并传输给浏览器,那这个传输过程中密钥被别人劫持弄到手了怎么办?之后他就能用密钥解开双方传输的任何内容了,所以这么做当然不行。 非对称加密 有两把密钥,通常一把叫做公钥、一把叫做私钥,用公钥加密的内容必须用私钥才能解开,同样,私钥加密的内容只有公钥能解开。 服务器先把公钥直接明文传输给浏...
鸿蒙开发证书秘钥
最新发布
12-05
鸿蒙开发证书秘钥的获取、使用及相关信息如下: ### 获取方式 在 Generate Key 界面中,继续填写密钥信息后,点击 Generate Key and CSR 来获取。具体填写内容如下: - Alias:密钥的别名信息,用于标识密钥名称,需记住该别名,后续签名配置需要使用。 - Password:输入密钥对应的密码,密钥密码需要密钥库密码保持一致,需记住该密码,后续签名配置需要使用。 - Confirm Password:再次输入密钥密码。 - Validity:证书有效期,建议设置为 25 年及以上,覆盖应用的完整生命周期。 - Certificate:输入证书基本信息,如组织、城市或地区、国家码等 [^3]。 ### 使用方法 HarmonyOS 通过数字证书 Profile 文件等签名信息来保证鸿蒙应用/元服务的完整性,鸿蒙应用/元服务如需上架则必须通过签名校验。因此,需要使用发布证书 Profile 文件对鸿蒙应用/元服务进行签名后才能发布 [^1]。 ### 相关信息 还可以使用代码获取正式应用签名证书的签名信息,示例代码如下: ```typescript import { bundleManager } from '@kit.AbilityKit'; import { hilog } from '@kit.PerformanceAnalysisKit'; import { BusinessError } from '@kit.BasicServicesKit'; let bundleFlags = bundleManager.BundleFlag.GET_BUNDLE_INFO_WITH_SIGNATURE_INFO; try { bundleManager.getBundleInfoForSelf(bundleFlags).then((data) => { hilog.info(0x0000, 'testTag', 'getBundleInfoForSelf successfully. Data: %{public}s', JSON.stringify(data)); //data里可以获取到signatureInfo,即应用的签名证书信息 }).catch((err: BusinessError) => { hilog.error(0x0000, 'testTag', 'getBundleInfoForSelf failed. Cause: %{public}s', err.message); }); } catch (err) { // 生成2048位RSA秘钥 let message = (err as BusinessError).message; hilog.error(0x0000, 'testTag', 'getBundleInfoForSelf failed: %{public}s', message); } ``` 通过这段代码获取到 signatureInfo.appIdentifier,然后进行 MD5 处理,即可特定方法获取的值一致 [^4]。
评论 2
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值